はじめに
Hybrid Analysisのサイバーセキュリティ研究者たちは、仮想通貨ウォレットのユーザーとブラウザデータを標的とする、巧妙な2段階マルウェアキャンペーンを発見しました。LeakyInjectorとLeakyStealerと名付けられたこの新たなマルウェアデュオは、高度な回避技術と包括的なデータ窃取能力を通じて、デジタル資産のセキュリティに重大な脅威をもたらしています。
高度なインジェクション技術による検出回避
LeakyInjectorは攻撃の初期段階として機能し、低レベルのWindows APIを利用して、正当なexplorer.exeプロセスにペイロードを注入します。このインジェクション方法は、標準的なプロセス作成を監視するセキュリティソフトウェアによる検出を回避するのに役立ちます。インジェクターはLeakyStealerをChaCha20アルゴリズムで暗号化された形式で保存し、その後復号して標的システムに展開します。両方のマルウェアコンポーネントは、Hefei Nudan Jukuang Network Technology Co., Ltd.に発行された有効なExtended Validation証明書で署名されており、これにより初期のセキュリティチェックを迂回する正当性を帯びています。
マルウェアは、AppDataディレクトリに「MicrosoftEdgeUpdateCore.exe」として自身をコピーし、Runキーの下にレジストリエントリを作成することで永続性を確立します。このMicrosoft Edge更新コンポーネントへの偽装により、マルウェアはシステム起動時に自動的に実行され、ユーザーに即座に疑念を抱かせません。
包括的なデータ窃取能力
LeakyStealerは、Electrum、Exodus、Atomic、Sparrow、Ledger Live、Guarda、BitPayなどの人気のあるウォレットアプリケーションを感染システムでスキャンし、仮想通貨資産を広範囲に標的とします。このマルウェアは、MetaMask、Phantom、Coinbase Wallet、Trust Walletといったブラウザベースの仮想通貨拡張機能にも手を伸ばしており、これらは仮想通貨ユーザーの間でますます人気が高まっています。
仮想通貨の窃取に加えて、マルウェアはGoogle Chrome、Microsoft Edge、Brave、Opera、Vivaldiからブラウザ履歴ファイルを収集します。この閲覧データは、攻撃者にとって価値のある金融口座、取引プラットフォーム、その他の機密情報を明らかにすることができます。盗まれた情報は、コマンド&コントロールサーバーであるEversteadにHTTP POSTリクエストを通じて送られます。この際、通常のウェブトラフィックに紛れるようにブラウザ関連のユーザーエージェントが使用されます。
回避と永続化のメカニズム
LeakyStealerは、ハードコードされたバイトシーケンスを使用してメモリフットプリントを動的に調整するポリモーフィックエンジンを実装しています。この技術は、静的シグネチャに依存するメモリベースの検出システムを回避しようとします。マルウェアは、Cドライブのボリュームシリアル番号と定数値をXOR演算することで、感染した各マシンに一意のBot IDを計算し、攻撃者が個々の被害者を追跡できるようにします。
この情報窃取マルウェアには、リモートの攻撃者が追加ファイルをダウンロードして実行したり、侵害されたシステムでWindowsコマンドを実行したりできる2つのバックドアコマンドが含まれています。マルウェアはコマンドサーバーと定期的に通信し、指示を受け取り、盗まれたデータを外部に送信するために一定の間隔でビーコンを発信します。
侵害の痕跡 (IoC)
- SHA256:
- 9b8bd9550e8fdb0ca1482f801121113b364e590349922a3f7936b2a7b6741e82
- 88e0c1652eb91c517a5fec9d356c7f30c0136d544f5d55ac37f20c5612134efb
- 作成されるファイル:
- %AppData%\MicrosoftEdgeUpdateCore.exe
- C:\Users\<User>\AppData\Local\Temp\history_%d.db
- レジストリ値: EdgeUpdateCore
- C2サーバー: everstead[.]group